cookbooks/tilecache/templates/default/nginx_tile.conf.erb

   1 # DO NOT EDIT - This file is being maintained by Chef
   2
   3 upstream tile_cache_backend {
   4   server 127.0.0.1;
   5
   6   # Add the other caches to relieve pressure if local squid failing
   7   # Balancer: round-robin
   8 <% @caches.each do |cache| -%>
   9 <% if cache[:hostname] != node[:hostname] -%>
  10 <% if node[:tilecache][:tile_siblings].include? cache[:fqdn] -%>
  11 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
  12   server <%= address %> backup; # Server <%= cache[:hostname] %>
  13 <% end -%>
  14 <% end -%>
  15 <% end -%>
  16 <% end -%>
  17
  18   keepalive 1024;
  19   keepalive_requests 1024;
  20 }
  21
  22 # Geo Map of tile caches
  23 geo $tile_cache {
  24   default 0;
  25 <% @caches.each do |cache| -%>
  26 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
  27   <%= address %> 1; # <%= cache[:hostname] %>
  28 <% end -%>
  29 <% end -%>
  30 }
  31
  32 # Rates table based on current cookie value
  33 map $cookie__osm_totp_token $limit_rate_qos {
  34   include /etc/nginx/conf.d/tile_qos_rates.map;
  35 }
  36
  37 # Set-Cookie table based on current cookie value
  38 map $cookie__osm_totp_token $cookie_qos_token_set {
  39   include /etc/nginx/conf.d/tile_qos_cookies.map;
  40 }
  41
  42 map $http_user_agent $approved_scraper {
  43   default                   0; # Not approved
  44   '~^JOSM\/'                1; # JOSM
  45   '~^Mozilla\/5\.0\ QGIS\/' 1; # QGIS
  46 }
  47
  48 map $http_user_agent $denied_scraper {
  49   default                0; # Not denied
  50   ''                     1; # No User-Agent Set
  51   '~^Python\-urllib\/'   1; # Library Default
  52   '~^python\-requests\/' 1; # Library Default
  53   '~^node\-fetch\/'      1; # Library Default
  54   '~^R$'                 1; # Library Default
  55   '~^Java\/'             1; # Library Default
  56   '~^tiles$'             1; # Library Default
  57   '~^runtastic'          1; # App
  58   'Mozilla/4.0'          1; # Fake
  59   'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)' 1;  # Fake
  60 }
  61
  62 map $http_referer $denied_referer {
  63   default                          0; # Not denied
  64   'http://www.openstreetmap.org/'  1; # Faked
  65   'http://www.openstreetmap.org'   1; # Faked
  66   'http://openstreetmap.org/'      1; # Faked
  67   'http://openstreetmap.org'       1; # Faked
  68   'http://www.osm.org/'            1; # Faked
  69   'http://www.osm.org'             1; # Faked
  70   'http://osm.org/'                1; # Faked
  71   'http://osm.org'                 1; # Faked
  72 }
  73
  74 # Limit Cache-Control header to only approved User-Agents
  75 map $http_user_agent $limit_http_cache_control {
  76   default '';                              # Unset Header
  77   '~^Mozilla\/5\.0\ QGIS\/' '';            # Unset Header
  78   '~^Mozilla\/5\.0\ ' $http_cache_control; # Pass Header
  79 }
  80
  81 # Limit Pragma header to only approved User-Agents
  82 map $http_user_agent $limit_http_pragma {
  83   default '';                       # Unset Header
  84   '~^Mozilla\/5\.0\ QGIS\/' '';     # Unset Header
  85   '~^Mozilla\/5\.0\ ' $http_pragma; # Pass Header
  86 }
  87
  88 server {
  89     listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
  90     server_name  localhost;
  91
  92     proxy_buffers 8 64k;
  93
  94     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
  95     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
  96
  97     # Requests sent within early data are subject to replay attacks.
  98     # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
  99     ssl_early_data on;
 100
 101     # Immediately 404 layers we do not support
 102 <% for i in 20..99 do %>
 103     location /<%= i %>/ {
 104       set $limit_rate 512;
 105       return 404;
 106     }
 107 <% end %>
 108
 109     # Immediately 404 silly tile requests
 110     location = /0/0/-1.png {
 111       set $limit_rate 512;
 112       return 404;
 113     }
 114     location = /1/0/-1.png {
 115       set $limit_rate 512;
 116       return 404;
 117     }
 118     location = /1/-1/0.png {
 119       set $limit_rate 512;
 120       return 404;
 121     }
 122     location = /1/-1/1.png {
 123       set $limit_rate 512;
 124       return 404;
 125     }
 126     location = /1/-1/-1.png {
 127       set $limit_rate 512;
 128       return 404;
 129     }
 130     location = /1/-1/2.png {
 131       set $limit_rate 512;
 132       return 404;
 133     }
 134     location = /1/1/-1.png {
 135       set $limit_rate 512;
 136       return 404;
 137     }
 138     location = /1/2/-1.png {
 139       set $limit_rate 512;
 140       return 404;
 141     }
 142     location = /2/0/-1.png {
 143       set $limit_rate 512;
 144       return 404;
 145     }
 146     location = /2/-1/0.png {
 147       set $limit_rate 512;
 148       return 404;
 149     }
 150     location = /2/-1/1.png {
 151       set $limit_rate 512;
 152       return 404;
 153     }
 154     location = /2/1/-1.png {
 155       set $limit_rate 512;
 156       return 404;
 157     }
 158     location = /2/-1/2.png {
 159       set $limit_rate 512;
 160       return 404;
 161     }
 162     location = /2/-1/3.png {
 163       set $limit_rate 512;
 164       return 404;
 165     }
 166
 167     location / {
 168       proxy_pass http://tile_cache_backend;
 169       proxy_set_header X-Forwarded-For $remote_addr;
 170       proxy_http_version 1.1;
 171       proxy_set_header Connection '';
 172
 173       proxy_connect_timeout 5s;
 174
 175       # Preserve host header.
 176       proxy_set_header Host $host;
 177       # Do not pass cookies to backends.
 178       proxy_set_header Cookie '';
 179       # Do not pass Accept-Encoding to backends.
 180       proxy_set_header Accept-Encoding '';
 181
 182       # Do not allow setting cookies from backends due to caching.
 183       proxy_ignore_headers Set-Cookie;
 184       proxy_hide_header Set-Cookie;
 185
 186       # Set a QoS cookie if none presented (uses nginx Map)
 187       add_header Set-Cookie $cookie_qos_token_set;
 188 <% if node[:ssl][:strict_transport_security] -%>
 189       # Ensure Strict-Transport-Security header is removed from proxied server responses
 190       proxy_hide_header Strict-Transport-Security;
 191
 192       # Enable HSTS
 193       add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
 194 <% end -%>
 195
 196       # QoS Traffic Rate see $limit_rate on http://nginx.org/en/docs/http/ngx_http_core_module.html
 197       set $limit_rate $limit_rate_qos;
 198
 199       # Allow Higher Traffic Rate from Approved User-Agents which do not support cookies (uses nginx Map)
 200       if ($approved_scraper) {
 201         set $limit_rate 65536;
 202       }
 203
 204       if ($denied_scraper) {
 205         set $limit_rate 512;
 206         return 429;
 207       }
 208       if ($denied_referer) {
 209         set $limit_rate 512;
 210         return 418;
 211       }
 212
 213       # Strip any ?query parameters from urls
 214       set $args '';
 215
 216       # Allow cache purging headers only from select User-Agents (uses nginx Map)
 217       proxy_set_header Cache-Control $limit_http_cache_control;
 218       proxy_set_header Pragma $limit_http_pragma;
 219     }
 220 }